首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >问答首页 >黑客攻击Windows 2019

黑客攻击Windows 2019
EN

Server Fault用户
提问于 2020-10-09 13:01:50
回答 1查看 549关注 0票数 -1

我有一个WindowsServer2019VPS托管网站。它有所有的最新更新。但不知何故,有一次(部分)黑客攻击企图。我第一次注意到这一点是因为我获得了Microsoft Register (regsvr32.exe)的高CPU使用率的SMS。在本站过程探索的帮助下,原因是ProgramDAta文件夹中的DLL。

在那里,我找到了一个名为set.zip的拉链。包含以下5个文件。comhij.dlllet.exern.batx.mofxg.dll。似乎执行了.bat文件并运行了脚本。但是它以某种方式失败了,可能是Windows Defender或其他什么东西阻止了它,导致CPU的高。我之所以知道这一点,是因为.bat中的最后一行会导致它自己删除。我找不到脚本想要做的任何改变。

我把拉链复制到我自己的电脑上,诺顿360立即将let.exe识别为黑客工具,comhij.dll识别为特洛伊木马,xg.dll识别为Trojan.Get.MTB。

服务器具有Windows活动,而在提供程序级别TransIP上,也有一个防火墙活动。

我发现set.zip是由一个AppPools创建的(如果这很重要的话,它承载一个DotNetNuke CMS ),没有FTP访问。

因此,我的问题是,如何找出这是如何发生的,我如何才能防止它在未来?以及AppPool如何将文件写入其根目录之外的磁盘?根据请求,我可以发布整个.bat脚本。

EN

回答 1

Server Fault用户

回答已采纳

发布于 2020-10-09 13:16:13

  • 这是怎么回事?您的网站(无论它运行的内容)被黑客攻击,有人使用它上传和运行特洛伊木马到您的服务器。它到底是怎么被黑的取决于网站本身,可能是一个漏洞,一个漏洞,一个过于简单的密码.任何事,真的。
  • AppPool如何将文件写入根目录之外的磁盘?,这取决于应用程序池正在运行的用户帐户以及文件系统权限。此外,即使用户帐户实际上没有写入文件的权限,也可能涉及权限提升。
  • 我怎样才能在将来阻止它呢?除了加强您的安全性之外,还要警惕网站中的bug或漏洞;如果您正在运行由其他人创建的web应用程序,请确保检查他们已知的漏洞并应用他们的更新。
票数 3
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/1037075

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档